Домашня » школа » Використання процесу моніторингу для усунення неполадок і знайти реєстр хакі

    Використання процесу моніторингу для усунення неполадок і знайти реєстр хакі

    У сьогоднішньому випуску Geek School ми збираємося навчити вас, як використовувати Process Monitor для фактичного вирішення проблем і виявлення хакі реєстру, які ви б не знали про інше.

    ШКОЛА НАВІГАЦІЇ
    1. Які інструменти SysInternals і як ви їх використовуєте?
    2. Розуміння процесу Explorer
    3. Використання Process Explorer для усунення неполадок та діагностики
    4. Розуміння процесу моніторингу
    5. Використання процесу моніторингу для усунення неполадок і знайти реєстр хакі
    6. Використання Autoruns для роботи з запуску процесів і шкідливих програм
    7. Використання BgInfo для відображення системної інформації на робочому столі
    8. Використання PsTools для управління іншими комп'ютерами з командного рядка
    9. Аналіз і керування файлами, папками та дисками
    10. Загортання та використання інструментів разом

    Монітор процесу є одним з найбільш вражаючих інструментів, які ви можете мати у своєму наборі інструментів, тому що майже немає іншого способу побачити те, що дійсно робить програма під капотом. Це єдиний спосіб дізнатися, до яких файлів записується який процес, і де речі зберігаються в реєстрі, і які файли доступні їм.

    Ми розпочнемо сьогоднішній урок, дізнавшись, як знайти розділи реєстру за допомогою діалогових вікон налаштування Windows і Process Monitor, а потім ми розглянемо фактичний сценарій усунення несправностей, який ми зіткнулися на одному з наших комп'ютерів у лабораторії, і легко вирішуємо за допомогою Process Monitor.

    Використання Process Explorer, щоб знайти ключі реєстру для загальних налаштувань

    Усі натискали прапорець або змінювали значення випадаючого списку на певному етапі, але ви коли-небудь замислювалися, де ці цінності фактично зберігаються? Багато додатків, і практично все в Windows, зберігаються в реєстрі… десь.

    Для сьогоднішнього прикладу ми будемо використовувати перший параметр на першій панелі панелі завдань і властивостей навігації, який є діалогом, який повинен існувати у всіх версіях Windows. Так що тепер наша місія полягає в тому, щоб з'ясувати, де це налаштування фактично зберігається в реєстрі. Ви можете слідувати за цим налаштуванням, або ви можете спробувати одне з інших налаштувань у тому ж діалоговому вікні - або в будь-якому іншому місці, де хочете знайти приховане місцезнаходження.

    Перше, що потрібно зробити, коли ви намагаєтеся захопити набір даних, це запустити Process Monitor, а потім змінити налаштування. На цьому етапі ви можете зупинити процес моніторингу від продовження захоплення подій, тому список не вийде з-під контролю. (Підказка: у меню Файл є така опція або третя піктограма зліва).

    Тепер, коли ми отримали тонну даних у списку, настав час фільтрувати список, щоб зменшити кількість рядків, які ми повинні будемо проглянути. Оскільки ми розглядаємо змінене значення реєстру, нам потрібно буде відфільтрувати за допомогою “RegSetValue”, що і використовує Windows для встановлення нового реєстру. Використовуйте опцію "Включити", щоб показати тільки ці події.

    Ваш список тепер повинен обмежуватися лише ключами реєстру, які були змінені, тому настав час поглянути на події і спробувати з'ясувати, який саме ключ реєстру може бути. Оскільки ми перевіряємо налаштування "Закріпити панель завдань", і один з ключів реєстру, що входять до нього, містить слово "Панель завдань" в назві, це хороше місце для початку. Клацніть правою кнопкою миші на шляху та виберіть Перейти до розташування.

    Process Monitor відкриє редактор реєстру і виділить ключ у списку. Тепер нам потрібно переконатися, що це насправді правильний ключ, який досить легко зрозуміти. Погляньте на налаштування, а потім подивіться на ключ. Зараз налаштування увімкнено, а клавіша встановлена ​​в 0.

    Отже, змініть налаштування, натисніть кнопку Застосувати на діалоговому вікні, а потім за допомогою клавіші F5 оновіть вікно редактора реєстру. У нашому випадку ми визначили правильні налаштування, так що тепер ви можете бачити, що значення TaskbarSizeMove встановлено на 1.

    Якщо ви не вибрали правильне значення, ви знову не побачите змін, коли ви зробите тест налаштування. Отже, знайдіть наступного логічного і почніть спочатку.

    Усунення несправностей з процесором Monitor

    Насправді не вдалося проілюструвати в одній статті, як виправити будь-яку проблему з Process Monitor, або будь-який інший інструмент з цього приводу. Є просто занадто багато комбінацій питань, які можуть піти не так.

    Проте ми можемо показати, як ми насправді використовували Process Monitor для усунення реальної проблеми, яка насправді сталася з одним з наших тестових комп'ютерів. Ми встановлювали деякі crapware, а потім вирішили спробувати і очистити комп'ютер. Проблема полягала в записі на панелі видалення програм, яка просто не пішла.

    Наступна сторінка: усунення проблем з монітором процесу